Udało mi się rozdzielic grupy na FortiGate przy uwierzytelnianiu w AD!
Problem wyglądał tak: mamy wielu użytkowników należących do wielu grup. Tworzymy reguły z autoryzacją – dla każdej grupy osobną. Adresy i porty źródłowe i docelowe takie same. Jeśli użytkownik nie jest członkiem grupy w pierwszej regule zapora nie sprawdza dalszych reguł (inaczej niż w przypadku niedopasowania innych warunków – adresu IP i portu). Żale wcześniej wylałem tutaj: FortiGate – przetwarzanie reguł.
Rozwiązaniem takiego problemu jest stworzenie dwóch osobnych grup (z osobnymi protection profile), a następnie umieszczenie ich w jednej regule.
Mniej więcej pokazują to zrzuty ekranu, które zrobiłem na swoim urządzeniu. Oczywiście kolejność dodawania grup ma znaczenie w przypadku gdy użytkownicy należą do więcej jak jednej jednocześnie.
W międzyczasie pojawił mi się kolejny problem. Chciałem konkretnemu użytkownikowi PPTP dać dostęp jedynie do konkretnego serwera w DMZ. Niestety grupa PPTP może być jedna i może mieć tylko jeden zakres adresów, jakie są jej przydzielane. Adresów nie da się przydzielić ‘na sztywno’ użytkownikowi. Tym samym wszyscy mają takie same prawa, bo reguła zapory jest jedna. A szkoda, pokombinuję z innymi VPN’ami.
Ciągle jestem przed szkoleniem FortiGate & AD. Chetnie dowiem się czy da się PPTP pożenić z AD.
Tagi: Active Directory, Fortigate